«Веселые картинки» из Telegram открывали дверь софту для шпионажа и майнинга

13 февраля

Хакеры использовали уязвимость нулевого дня Telegram Messenger ​​для распространения вредоносного ПО.

Сервисы обмена сообщениями давно уже стали неотъемлемой частью нашей социальной жизни, призванной упростить общение с друзьями и знакомыми. Однако именно это делают их заветной целью для киберпреступников, успех которых может значительно осложнить жизнь огромным аудиториям пользователей этих мессенджеров. Так, в прошлом месяце был выявлен троян Skygofree, который воровал переписку в WhatsApp. В этот раз под удар попали поклонники продукта Павла Дурова.

Исследователи из «Лаборатории Касперского» обнаружили ранее неизвестную уязвимость в десктопной версии популярного мессенджера Telegram, которую злоумышленники использовали для распространения многоцелевых вредоносных программ, занимающихся майнингом криптовалют и установкой шпионского софта на компьютеры пользователей. Согласно исследованию, эта уязвимость активно использовалась с марта 2017 года для добычи различных цифровых валют, включая Monero, Zcash и т.д. Прежде, чем она была выявлена, жертвами атаки могли стать тысячи человек.

Хакеры (предположительно русскоязычные, поскольку все случаи атак зафиксированны в России) использовали уязвимость «нулевого дня», основанную на методе Unicode RLO (right-to-left override=справа налево) в Telegram для Windows, чтобы заражать ПК пользователей мессенджера. Обычно он используется для кодирования языков с обратным написанием, таких, как арабский или иврит. Но также он может использоваться и создателями вредоносных программ, чтобы ввести пользователе в заблуждение при загрузке вредоносных файлов, замаскированных, например, под изображения.

«Веселые картинки» в Telegram, как отмечается в сообщении, представляли собой файл Javascript с вредоносным кодом. Обычно осторожные пользователи не запускают незнакомые файлы с расширением .js, однако если мошенник переименует его таким образом:

  • прикольная_картинка*U+202E*gnp.js

– где U+202E является тем самым символом Юникода, который пишет все следующие за ним знаки справа налево, в результате на экране название файла будет выглядеть как безобидное:

  • прикольная_картинкаsj.png

Это довольно старый метод, применяемый для распространения бэкдор-уязвимостей уже десять лет как. Однако в Telegram он был применен впервые – и весьма успешно. Несмотря на то, что операционная система зачастую предупреждала о запуске файла из неизвестного источника, далеко не все пользователи, получившие в переписке «прикольную картинку», прислушиваются к гласу электронного разума. Тем более, что зловред вполне мог действительно показать картинку, чтобы усыпить бдительность жертвы.

На серверах злоумышленников были обнаружены материалы из переписки сотен пользователей. Цели хакеров не ограничивались кражей аудиовизуальных материалов пользователей мессенджера, и в широком смысле заключались в получении удаленного доступа к компьютеру жертвы. Далее его можно было использовать как для шпионажа, так и для добычи криптовалюты. При этом зловред довольно долго может не выдавать себя ничем, кроме, разве что, регулярного перегрева процессора, пытающегося добыть своим новым хозяевам немного Monero.

Уязвимость была устранена сразу после того, как «Лаборатория Касперского» уведомила разработчиков Telegram о существующей проблеме, говорится в сообщении компании. Тем не менее, исследователи подчеркивают, что это далеко не единственная уязвимость, которая может уже существовать или в скором времени появиться в этом или любом другом популярном мессенджере. Каждый месяц аналитики компании выявляют десятки киберугроз, которые, как мы видим на этом примере, могут шифроваться месяцами.

Чтобы не стать донором незаконно добытой криптовалюты для какого-нибудь хитрого хакера, достаточно соблюдать ряд простых правил:

  1. Не скачивайте и не открывайте файлы из неизвестных источников, особенно если они приходят без комментариев и предупреждений. Даже если вы доверяете человеку, с которым переписывайтесь, памятуйте, что его аккаунт может оказаться взломан, если собеседник был не столь осторожен.
  2. Не игнорируйте системные предупреждения и проверяйте, соответствует ли описание файла тому, что вы предполагаете открыть.
  3. Установите на компьютер надежный антивирус и регулярно обновляйте как его базы, так и все программное обеспечение для вашей системы. Кстати, приложений и мессенджеров это тоже касается.

«Популярность услуг мгновенного обмена сообщениями невероятно высока, и крайне важно, чтобы разработчики обеспечивали надлежащую защиту своих пользователей, чтобы они не стали мишенями для преступников. Мы нашли несколько сценариев этой уязвимости «нулевого дня», которая, помимо общих вредоносных программ и программ-шпионов, использовалась для предоставления программного обеспечения для майнинга – такие вирусы стали глобальной тенденцией, которую мы наблюдали в течение всего прошлого года. Кроме того, мы полагаем, что существуют и другие способы злоупотребления этой уязвимостью», –  прокомментировал Алексей Фирш, вирусный аналитик отдела исследования целевых атак «Лаборатории Касперского».

 

Читайте также наш материал о том, как защититься от вируса-майнера!

 

Источник

Оставайтесь в курсе и следите за развитием событий на сайте blockchain.ru! Присоединяйтесь к обсуждениям самых интересных тем в нашем сообществе Facebook. А для того, чтобы оперативно узнавать о горячих новостях, подписывайтесь на наш телеграм-канал.

Войдите на сайт, чтобы оставить комментарий
0 комментариев
Популярные
Новые

Рассылка

Подписывайтесь на обновления и анонсы

18+
Москва, Берсеневская набережная 6/2
+7 (495) 118-41-48
2018 © Blockchain.ru, Сделано в Charmer
  • Дисклеймер
  • Пользовательское соглашение
  • Политика конфиденциальности

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google Chrome Firefox Opera